Ein effektives Drittparteienmanagement (Third-Party Management - TPM) schafft Transparenz in allen Geschäftsbeziehungen zu externen Partnern wie Lieferanten, Anbietern oder Dienstleistern. Das Ziel besteht darin, den Mehrwert zu maximieren und Risiken im Umgang mit Drittparteien zu minimieren.

Um die Funktionsweise eines umfassenden TPM zu verstehen, ist es wichtig zu wissen, wo es beginnt und wie es das gesamte Unternehmen einbezieht. 

Zentrale Rollen im TPM:

• Lieferanten: Stellen in den frühen Phasen der Lieferkette Rohstoffe oder Grundmaterialien bereit.
• Anbieter: Liefern Produkte oder Dienstleistungen in späteren Phasen der Lieferkette und sind häufig Technologie- oder Vertriebspartner.
• Dienstleister: Erbringen Dienstleistungen oder stellen Technologien bereit, anstatt physische Produkte oder Rohstoffe zu liefern.

Alle Drittparteien haben Zugriff auf die Systeme und das geistige Eigentum des Unternehmens. Ein proaktives Risikomanagement ist daher von entscheidender Bedeutung.

Erfahren Sie in unserem kostenlosen E-Book mehr über den TPM-Lebenszyklus.

Die Entwicklung des Drittparteien-Risikomanagements (Third-Party Risk Management - TPRM):

• Vom reinen Risikomanagement hin zu einem ganzheitlichen Ansatz: Beim traditionellen TPRM stand vor allem die Sicherheit im Mittelpunkt. Heute stehen zusätzlich Datenschutz, Ethik und operative Resilienz im Fokus, wobei auch neue Risiken wie KI berücksichtigt werden. Dieser Wandel hin zu einem umfassenden TPM verbindet verschiedene Geschäftsbereiche, um operative Risiken ganzheitlich zu adressieren.

Bestandteile des TPM-Lebenszyklus?

Partnerschaften mit Drittparteien in Ihrem Unternehmen durchlaufen in der Regel im Laufe der Zeit verschiedene Phasen. Entscheidend ist eine Drittparteienmanagement-Strategie, die alle Phasen berücksichtigt und durch eine entsprechende Softwarelösung effizient umgesetzt wird. Die Phasen des TPM-Lebenszyklus sind:

1. Drittparteien aufnehmen: Erstellen und pflegen Sie ein vollständiges Verzeichnis aller Drittparteien. Für diesen Zweck können Software-Integrationen oder strukturierte Fragebögen genutzt werden.
2. Risikobereitschaft festlegen: Stimmen Sie die Risikotoleranz auf die Unternehmensziele ab, indem Sie gemeinsam mit den wichtigsten Stakeholdern Schwellenwerte für akzeptable Risiken definieren. Kommunizieren Sie diese Grenzen anschließend klar an alle Drittparteien.
3. Inhärentes Risiko berechnen: Bewerten Sie die Risiken im Zusammenhang mit Drittparteien anhand von Faktoren wie Branche, Standort und Leistungsfähigkeit. Im nächsten Schritt sollten die ermittelten Risiken mit der Risikobereitschaft Ihres Unternehmens abgeglichen werden. So können Sie entscheiden, ob zusätzliche Maßnahmen erforderlich sind.
4. Bewertungsphasen:
   • Risiko- und Compliance-Daten prüfen: Nutzen Sie externe Datenquellen, um Warnsignale und ethische Bedenken frühzeitig zu erkennen. Due-Diligence-Prüfungen sind entscheidend, um potenzielle Probleme wie regulatorische Verstöße oder unethische Praktiken aufzudecken.
   • Zertifizierungen und Nachweise beurteilen: Überprüfen Sie die Zertifizierungen der Drittparteien (z. B. ISO 27001), um die Einhaltung von Branchenstandards und Sicherheitsrichtlinien sicherzustellen.
   • Dynamische Fragebögen versenden: Passen Sie die Fragebögen individuell an, um spezifische Risiken zu adressieren und detaillierte Informationen zu sammeln. So können Sie ermitteln, ob die Risikobereitschaft der Drittpartei mit Ihrer eigenen übereinstimmt.
5. Risiken behandeln und Maßnahmen ergreifen: Analysieren Sie die Antworten aus den Fragebögen, um die Risikofolgen zu bewerten und geeignete Maßnahmen zu implementieren. Integrieren Sie das Risikomanagement in den Vertragsprozess, um die Schutzmaßnahmen gezielt an die identifizierten Risiken anzupassen.
6. Überwachen, reagieren und neu bewerten: Behalten Sie die Aktivitäten Ihrer Drittparteien kontinuierlich im Blick, reagieren Sie auf Veränderungen und bewerten Sie Risiken regelmäßig neu. Nutzen Sie Warnmeldungen und turnusmäßige Überprüfungen, um neue Risiken und Änderungen in der Zusammenarbeit frühzeitig zu erkennen.
7. Berichten und dokumentieren: Erfassen und visualisieren Sie wichtige TPM-Kennzahlen. Um die nötige Transparenz und Compliance zu gewährleisten, sollten Aufzeichnungen automatisiert werden.

Rollen und Verantwortlichkeiten der entscheidenden Geschäftsbereiche

Welche Rolle ein Geschäftsbereich im TPM spielt, hängt in erster Linie davon ab, welche Risiken für ihn am relevantesten sind. Sicherheitsteams möchten beispielsweise wissen, ob eine Drittpartei bereits Opfer einer Datenschutzverletzung geworden ist und wie sie darauf reagiert hat.

Da jeder Geschäftsbereich eigene Anforderungen an Drittparteien stellt, ist ein klares Rollen- und Verantwortlichkeitsmodell unerlässlich. Nur so kann die Zusammenarbeit strukturiert werden und die Sicherheit des Unternehmens gewährleistet werden. 

Die Rollen der entscheidenden Geschäftsbereiche:

• Sicherheit: Der Schwerpunkt liegt auf Cybersicherheitsrisiken im Zusammenhang mit Drittparteien, einschließlich früherer Datenschutzverletzungen sowie bestehender Schutzmaßnahmen. Es wird sichergestellt, dass Drittparteien über angemessene Sicherheitsmaßnahmen verfügen und die Kontinuitätsanforderungen erfüllen.

• Datenschutz: Dieser Geschäftsbereich ist für die Risiken im Bereich Datenschutz und regulatorische Compliance verantwortlich, insbesondere im Zusammenhang mit sensiblen personenbezogenen Daten. Er arbeitet eng mit der Sicherheitsabteilung zusammen, um Daten zu schützen und gesetzliche Vorgaben einzuhalten.

• Ethik und Compliance: In diesem Geschäftsbereich werden regulatorische und Reputationsrisiken überprüft, zu denen auch unethische Geschäftspraktiken oder Richtlinienverstöße zählen. Mithilfe von Due-Diligence- und Monitoring-Tools werden potenzielle Probleme frühzeitig erkannt.

• Beschaffung: Dieser Geschäftsbereich ist zuständig für die Auswahl von Lieferanten, die Durchführung von Ausschreibungen und die Vertragsverhandlungen. Er nimmt eine Schlüsselrolle bei der Erstbewertung von Drittparteien und beim Management des Onboarding-Prozesses ein.

Der Weg nach vorn

Ein effektives TPM umfasst die ganzheitliche Steuerung externer Partnerschaften – von der ersten Kontaktaufnahme bis zum Abschluss der Zusammenarbeit. Eine enge Abstimmung zwischen den relevanten Geschäftsbereichen ist dafür unerlässlich. Nur so lassen sich Risiken in Bezug auf Sicherheit, Datenschutz, Ethik und Compliance frühzeitig erkennen und minimieren. Durch die systematische Verwaltung dieser Partnerschaften und die Integration von Risikomanagementprozessen können Unternehmen den Mehrwert maximieren und sich zuverlässig vor potenziellen Bedrohungen schützen.

OneTrust Third-Party Management

Mit OneTrust Third-Party Management erhalten Sie umfassende Transparenz über die Risiken bei der Verwaltung externer Partner im gesamten Unternehmen. Die Lösung bietet Ihnen eine Vielzahl von Funktionen, die gezielt auf Automatisierung und Zeitersparnis ausgelegt sind. Dazu gehören Third-Party Due Diligence zur Überprüfung von Geschäftspartnern sowie Third-Party Risk Management zur Risikominderung und zum Lebenszyklusmanagement.Darüber hinaus profitieren Sie von sofort nutzbaren Risikodaten zu Tausenden von Drittanbietern über Third-Party Risk Exchange. Auf dieser Plattform finden Sie Informationen aus renommierten Quellen wie SecurityScorecard, RiskRecon, ISS Corporate Solutions (ehemals FICO) und weiteren Anbietern.

Diese Funktionen sorgen gemeinsam dafür, dass Sie sicherer und effizienter mit Drittparteien zusammenarbeiten können. Sie reduzieren blinde Flecken in allen Risikobereichen, vereinfachen die Compliance, beschleunigen die Wertschöpfung in der Onboarding- und Bewertungsphase und stärken die Resilienz Ihres Unternehmens durch kontinuierliches Monitoring. Gleichzeitig erhalten Sie jederzeit relevante Daten, um schnellere und fundierte Entscheidungen über den gesamten Lebenszyklus Ihrer Drittparteien hinweg treffen zu können.

Erfahren Sie mehr darüber, wie Ihnen OneTrust Third-Party Management dabei hilft, Risiken in Ihrem gesamten Unternehmen zu erkennen und zu managen. Fordern Sie noch heute eine persönliche Demo an!